Buffer Overflow
Browser
Sicherheitslücke in Mozilla
Angreifer können über präparierte NNTP-URLs einen Absturz des Clients herbeiführen
In einem Security Advisory mit dem Titel Heap overflow in Mozilla Browser"
berichtet Maurycy Prodeus über eine Sicherheitslücke in der Behandlung des Network News Transport Protocols (NNTP) in
Mozillas
Websuite.
Angreifer können mit einer präparierten NNTP-URL einen Fehler in der Funktion MSG_UnEscapeSearchUrl() ausnutzen und so einen Buffer Overflow auslösen. Ein entsprechender Angriff führt, laut Advisory, zumindest zu einem Absturz der betroffenen Client-Anwendungen von Mozilla. Wie Prodeus weiter berichtet, könnte ein angreifer aber auch schädlichen Code über diese Schwachstelle zur Ausführung bringen. Aus Sicht der Mozilla-Entwickler ist dies jedoch nicht möglich, da mit dem Auftreten des Fehlers und dem damit verbundenen Absturz des Clients auch kein Code mehr gelesen werden könne. Laut Advisory sind alle Versionen der Mozilla-Websuite bis einschließlich Version 1.7.3 betroffen. Mozilla 1.7.5 ist bereits bereinigt und weist diese Schwachstelle nicht mehr auf.(red)